GUÍA PARA LAS BUENAS PRÁCTICAS DE FABRICACIÓN DE MEDICAMENTOS ANEXOS

PIC/S CONVENCIÓN DE INSPECCIÓN FARMACÉUTICA RÉGIMEN DE COOPERACIÓN DE LA INSPECCIÓN FARMACÉUTICA PE 009-11 (Anexos) 1 de marzo de 2014 GUÍA PARA LAS BUENAS PRÁCTICAS DE FABRICACIÓN DE MEDICAMENTOS ANEXOS PIC/S Marzo de 2014 Reproducción prohibida para fines comerciales. Se autoriza la reproducción para uso interno, siempre y cuando se dé reconocimiento a la fuente. Editor Correo electrónico: PIC/S Secretariat 14 rue du Roveray CH-1207 Ginebra Infro@picscheme.org http://www.picscheme.org PE 009-11 (Anexos) 1 de marzo de 2014

ANEXO 20* * El presente Anexo es voluntario. GESTIÓN DE RIESGOS DE CALIDAD PRÓLOGO Y ALCANCE DE APLICACIÓN 1. El nuevo Anexo 20 de las GMP corresponde a la directriz ICH Q9 sobre Gestión de Riesgos de Calidad. Proporciona orientación sobre un enfoque sistemático para la gestión de riesgos de calidad que facilite el cumplimiento de las GMP y demás requisitos de calidad. Incluye principios que se utilizarán y opciones para procesos, métodos y herramientas que se pueden usar cuando se aplica un enfoque formal de gestión de riesgos de calidad. 2. Para garantizar la coherencia, se ha revisado las GMP Parte I, Capítulo 1 sobre la Gestión de Calidad para incluir aspectos de la gestión de riesgos de calidad en el marco del sistema de calidad. Se planea una revisión similar para la Parte II de la Guía. Otras secciones de la Guía GMP pueden ser ajustadas para incluir aspectos de la gestión de riesgo de calidad en futuras revisiones más amplias de dichas secciones. 3. Con la revisión de los capítulos sobre la gestión de calidad en GMP Partes I y II, la gestión de riesgos de calidad se convierte en una parte integral del sistema de calidad del fabricante. Sin embargo, el Anexo 20 en sí no tiene como objetivo crear nuevas expectativas regulatorias; proporciona un inventario de métodos y herramientas de gestión de riesgos con reconocimiento internacional junto con una lista de posibles aplicaciones a la discreción de los fabricantes. 4. Se entiende que la directriz ICH Q9 se desarrolló principalmente para la gestión de riesgos de calidad de los medicamentos de uso humano. Con la implementación en el Anexo 20, los beneficios de la directriz, tales como procesos, métodos y herramientas para la gestión de riesgos de calidad, también están disponibles para el sector veterinario. 5. Si bien la guía GMP se dirige principalmente a los fabricantes, la directriz ICH Q9 tiene relevancia para otras directrices de calidad e incluye secciones específicas para las agencias reguladoras. 6. No obstante, por motivos de coherencia e integridad, la directriz ICH Q9 se ha transferido completamente al Anexo 20 de las GMP. INTRODUCCIÓN 7. Los principios de gestión de riesgos se utilizan con eficacia en muchas áreas de negocio y gobierno, incluyendo finanzas, seguros, seguridad en el trabajo, salud pública, farmacovigilancia y por las agencias que regulan estas industrias. Aunque hay algunos ejemplos del uso de la gestión de riesgos de calidad en la industria farmacéutica de hoy, son limitadas y no representan los aportes completos que la gestión de riesgos tiene para ofrecer. Además, la importancia de los sistemas de calidad ha sido reconocida en la industria farmacéutica y se está haciendo evidente que la gestión de riesgos de calidad es un componente valioso de un sistema de calidad eficaz. PE 009-11 (Anexos) -147-1 Marzo 2014

8. Se entiende comúnmente que el riesgo se define como la combinación de la probabilidad de que ocurra un daño y la gravedad de dicho daño. Sin embargo, es difícil lograr un entendimiento compartido de la aplicación de la gestión de riesgos entre los diversos grupos de interés ya que cada interesado puede percibir diferentes daños potenciales, colocar una probabilidad diferente en cada daño que se produzca y atribuir distintos niveles de gravedad de cada daño. En relación a los productos farmacéuticos, aunque hay una gran variedad de grupos de interés, incluidos los pacientes y los médicos, así como el gobierno y la industria, la protección del paciente mediante la gestión del riesgo para la calidad debe considerarse de importancia primordial. 9. La fabricación y el uso de un producto farmacéutico (medicinal), incluyendo sus componentes, necesariamente implican un cierto grado de riesgo. El riesgo para su calidad es sólo un componente del riesgo global. Es importante entender que la calidad del producto debe mantenerse durante todo el ciclo de vida del producto de tal manera que los atributos que son importantes para la calidad del producto farmacéutico (medicinal) sigan siendo consistentes con los usados en los estudios clínicos. Un enfoque eficaz de gestión de riesgos de calidad puede garantizar aún más la alta calidad del producto farmacéutico (medicinal) al paciente, proporcionando un medio proactivo para identificar y controlar los posibles problemas de calidad durante el desarrollo y la fabricación. Además, el uso de la gestión de riesgos de calidad puede mejorar la toma de decisiones si surge un problema de calidad. La eficaz gestión del riesgo de calidad puede facilitar la toma de decisiones mejores y más informadas; puede proporcionar a los reguladores mayores garantías de capacidad de la empresa para hacer frente a los riesgos potenciales y puede afectar beneficiosamente el grado y nivel de supervisión regulatoria directa. 10. El propósito del presente documento es ofrecer un enfoque sistemático para la gestión de riesgos de calidad. Sirve como una fundación o un documento de recursos que es independiente de otros documentos de calidad ICH aunque sean de apoyo, y complementa las prácticas, requisitos, normas y directrices existentes de calidad dentro de la industria farmacéutica y el entorno regulatorio. Proporciona específicamente orientación sobre los principios y algunas herramientas de gestión de riesgos de calidad que pueden permitir decisiones basadas en el riesgo más eficaces y coherentes, tanto por los reguladores y la industria, en cuanto a la calidad de los principios activos y los productos farmacéuticos (medicinales) en todo el ciclo de vida del producto. No tiene la intención de crear nuevas expectativas más allá de los requisitos regulatorios actuales. 11. No siempre es apropiado ni es siempre necesario utilizar un proceso de gestión de riesgos formal (utilizando herramientas y/o procedimientos internos reconocidos, por ejemplo, los procedimientos normalizados de operación). El uso de los procesos de gestión de riesgos informales (utilizando herramientas empíricas y/o procedimientos internos) también se puede considerar aceptable. 12. El uso adecuado de la gestión de riesgos de calidad puede facilitar, pero no obviar, la obligación del sector para cumplir con los requisitos regulatorios y no sustituye las comunicaciones adecuadas entre la industria y los reguladores. PE 009-11 (Anexos) -148-1 de Marzo de 2014

ALCANCE 13. La presente directriz establece los principios y ejemplos de herramientas para la gestión de riesgos de calidad que se pueden aplicar a diferentes aspectos de la calidad farmacéutica. Estos aspectos incluyen el desarrollo, la fabricación, la distribución y los procesos de inspección y sometimiento/revisión a través de todo el ciclo de vida de los principios activos, productos farmacéuticos (medicinales), productos biológicos y biotecnológicos (incluyendo el uso de materias primas, solventes, excipientes, empaques y materiales de etiquetado en productos farmacéuticos (medicinales), biológicos y productos biotecnológicos). PRINCIPIOS DE GESTIÓN DE RIESGOS DE CALIDAD 14. Dos principios fundamentales de la gestión de riesgos de calidad son: - La evaluación del riesgo para la calidad debe basarse en el conocimiento científico y en última instancia, enlazarse a la protección del paciente; y - El nivel de esfuerzo, la formalidad y la documentación del proceso de gestión de riesgos de calidad debe ser acorde con el nivel de riesgo. PROCESO GENERAL DE LA GESTIÓN DE RIESGOS DE CALIDAD 15. La gestión de riesgos de calidad es un proceso sistemático para la valoración, el control, la comunicación y la revisión de los riesgos a la calidad del producto farmacéutico (medicinal) en todo el ciclo de vida del producto. En el diagrama (Figura 1) se describe un modelo para la gestión de riesgos de calidad. Se podrían utilizar otros modelos. El énfasis en cada componente del marco podría diferir de un caso a otro, pero un proceso robusto incorporará la consideración de todos los elementos en un nivel de detalle que sea acorde con el riesgo específico. PE 009-11 (Anexos) -149-1 de Marzo de 2014

Comunicación de riesgos Figura 1: Visión general de un proceso típico de gestión de riesgos de calidad Iniciar Proceso de Gestión de Riesgos de Calidad Valoración de riesgo Identificación del riesgo Análisis del riesgo Control del riesgo Evaluación del riesgo Reducción del riesgo Aceptación del riesgo Inaceptable Herramientas de gestión de riesgos Producto / Resultado del Proceso de Gestión de Riesgos de Calidad Revisión del riesgo Revisar eventos 16. Los nodos de decisión no se muestran en el diagrama anterior ya que las decisiones pueden ocurrir en cualquier punto del proceso. Estas decisiones podrían ser para volver a la etapa anterior y buscar más información, para ajustar los modelos de riesgo o incluso dar por terminado el proceso de gestión de riesgos basado en la información que respalda tal decisión. Nota: Inaceptable en el diagrama de flujo no sólo se refiere a los requisitos legales, legislativos o regulatorios, sino también a la necesidad de regresar al proceso de valoración de riesgos.

Responsabilidades 17. Las actividades de gestión de riesgos de calidad son por lo general, pero no siempre, ejecutadas por equipos interdisciplinarios. Cuando se forman los equipos, deben incluir a expertos de las áreas correspondientes (por ejemplo, la unidad de calidad, desarrollo de negocios, ingeniería, asuntos regulatorios, operaciones de producción, ventas y de mercadotecnia, legales, estadísticas y clínicas), además de a las personas que conocen el proceso de gestión de riesgos de calidad. 18. Los encargados de adoptar decisiones deben: - asumir la responsabilidad de la coordinación de la gestión de riesgos de calidad a través de varias funciones y departamentos de su organización; y - asegurarse de definir, implementar y revisar un proceso de gestión de riesgos de calidad y que los recursos adecuados estén disponibles. PE 009-11 (Anexos) -150-1 de Marzo de 2014

Inicio de un proceso de gestión de riesgos de calidad 19. La gestión de riesgos de calidad debe incluir procesos sistemáticos diseñados para coordinar, facilitar y mejorar la toma de decisiones basada en la ciencia con respecto al riesgo. Los posibles pasos utilizados para iniciar y planificar un proceso de gestión de riesgo de calidad pueden ser los siguientes: - Definir la pregunta del problema y/o de riesgos, incluidos los supuestos pertinentes que permitan identificar el potencial de riesgo - Montar la información de fondo y/o datos sobre el peligro, daño o impacto potencial en la salud humana pertinente para la valoración del riesgo - Identificar un líder y los recursos necesarios - Especificar una línea de tiempo, los resultados entregables y el nivel adecuado de toma de decisiones para el proceso de gestión de riesgos Valoración de riesgos 20. La valoración de riesgos consiste en la identificación de los peligros y el análisis y evaluación de los riesgos asociados con la exposición a dichos riesgos (como se define más adelante). Las valoraciones de riesgos de calidad comienzan con una descripción bien definida del problema o pregunta del riesgo. Cuando el riesgo en cuestión está bien definido, se identificarán más fácilmente la herramienta de gestión de riesgos adecuada (ver ejemplos en la sección 5) y los tipos de información necesarios para abordar la pregunta del riesgo. Como ayuda para definir claramente el(los) riesgo(s) para fines de valoración del riesgo, a menudo tres preguntas fundamentales son útiles: 1. Qué podría salir mal? 2. Cuál es la probabilidad (posibilidad) de que salga mal? 3. Cuáles son las consecuencias (gravedad)? 21. La identificación de riesgos es un uso sistemático de información para identificar los peligros que se refieren a la pregunta del riesgo o la descripción del problema. La información puede incluir datos históricos, análisis teórico, opiniones informadas y las preocupaciones de los interesados. La identificación de riesgos se refiere a la pregunta Qué podría salir mal?, Incluyendo la identificación de las posibles consecuencias. Esto proporciona la base para nuevas etapas en el proceso de gestión de riesgos de calidad. 22. El análisis de riesgos es la estimación de los riesgos asociados a los peligros identificados. Es el proceso cualitativo o cuantitativo de la vinculación de la probabilidad de ocurrencia y severidad de los daños. En algunas herramientas de gestión de riesgos, la capacidad de detectar el daño (detectabilidad) también influye en la estimación del riesgo. 23. La evaluación del riesgo compara el riesgo identificado y analizado contra los criterios de riesgo dados. Las evaluaciones de riesgo consideran la fuerza de la evidencia para las tres preguntas fundamentales. 24. Al hacer una valoración eficaz del riesgo, la robustez del conjunto de datos es importante porque determina la calidad del producto. Los supuestos reveladores y las fuentes razonables de incertidumbre aumentarán la confianza en este producto y/o ayudará a identificar sus limitaciones. La incertidumbre se debe a la combinación de un conocimiento incompleto sobre un proceso y su variabilidad esperada o inesperada. Las fuentes típicas de incertidumbre incluyen lagunas en el conocimiento, lagunas en la ciencia farmacéutica y la comprensión de procesos, fuentes de daño (por ejemplo, modos de fallo de un proceso, fuentes de variabilidad), y la probabilidad de detección de problemas. PE 009-11 (Anexos) -151-1 de Marzo de 2014

25. El resultado de una valoración de riesgos es o bien una estimación cuantitativa del riesgo o una descripción cualitativa de una serie de riesgos. Cuando el riesgo se expresa cuantitativamente, se utiliza una probabilidad numérica. Alternativamente, el riesgo se puede expresar utilizando descriptores cualitativos, tales como alto, medio o bajo, que deben definirse con el mayor detalle posible. A veces se utiliza una puntuación de riesgo para definir aún más descriptores en la clasificación de riesgos. En las valoraciones cuantitativas de riesgos, una estimación del riesgo proporciona la probabilidad de una consecuencia específica, dado un conjunto de circunstancias que genera el riesgo. Por lo tanto, la estimación cuantitativa del riesgo es útil para una consecuencia particular en un momento. Por otra parte, algunas de las herramientas de gestión de riesgos utilizan una medida de riesgo relativo para combinar varios niveles de severidad y probabilidad en una estimación global del riesgo relativo. Los pasos intermedios dentro de un proceso de calificación a veces pueden emplear estimación cuantitativa del riesgo. Control de riesgos 26. El control de riesgos incluye la toma de decisiones para reducir y/o aceptar riesgos. El propósito del control de riesgos es reducir el riesgo a un nivel aceptable. La cantidad de esfuerzo utilizada para el control de riesgos debe ser proporcional a la importancia del riesgo. Los encargados de adoptar decisiones pueden utilizar diferentes procesos, incluso el análisis de costobeneficio, para entender el nivel óptimo de control de riesgos. 27. El control de riesgos podría centrarse en las siguientes preguntas: - El riesgo está por encima de un nivel aceptable? - Qué se puede hacer para reducir o eliminar los riesgos? - Cuál es el equilibrio adecuado entre los beneficios, riesgos y recursos? - Se introducen nuevos riesgos como consecuencia de los riesgos identificados que se están controlando? 28. La reducción del riesgo se centra en los procesos de mitigación o prevención de riesgos de calidad cuando rebasa un nivel determinado (aceptable) (ver Fig. 1). La reducción del riesgo podría incluir medidas adoptadas para mitigar la severidad y probabilidad de daño. También pueden utilizarse procesos que mejoren la capacidad de detección de los peligros y riesgos de calidad como parte de una estrategia de control de riesgos. La aplicación de medidas de reducción de riesgos puede introducir nuevos riesgos en el sistema o aumentar la importancia de otros riesgos existentes. Por ende, podría ser adecuado volver a la valoración de riesgos para identificar y evaluar cualquier cambio posible en el riesgo después de la implementación de un proceso de reducción de riesgos. 29. La aceptación de riesgos es la decisión de aceptar el riesgo. La aceptación del riesgo puede ser una decisión formal para aceptar el riesgo residual o puede ser una decisión pasiva en la que no se especifican los riesgos residuales. Para algunos tipos de daños, ni siquiera las mejores prácticas de gestión de riesgo de calidad podrían eliminar el riesgo por completo. En estas circunstancias, se podría acordar que una estrategia adecuada de gestión de riesgos de calidad se ha aplicado y que el riesgo de calidad se reduce a un nivel especificado (aceptable). Este nivel aceptable (especificado) dependerá de muchos parámetros y debe decidirse de manera individual. PE 009-11 (Anexos) -152-1 de Marzo de 2014

Comunicación de Riesgos 30. La comunicación de riesgos es compartir la información sobre el riesgo y la gestión del riesgo entre los que toman las decisiones y otros. Las partes pueden comunicarse en cualquier etapa del proceso de gestión del riesgo (véase la figura 1: flechas discontinuas.). El producto/resultado del proceso de gestión de riesgos de calidad debe comunicarse y documentarse adecuadamente (ver Fig. 1: flechas continuas). Las comunicaciones podrían incluir aquellas entre las partes interesadas; por ejemplo, reguladores e industria, industria y paciente, dentro de una empresa, industria o autoridad regulatoria, etc. La información incluida podría relacionarse con la existencia, la naturaleza, la forma, la probabilidad, la gravedad, la aceptabilidad, el control, el tratamiento, la detección u otros aspectos de riesgos para la calidad. La comunicación no tiene por qué llevarse a cabo para todas y cada una de las aceptaciones del riesgo. Entre la industria y las autoridades regulatorias, la comunicación relativa a las decisiones de gestión de riesgos de calidad puede efectuarse a través de los canales existentes según se especifica en los reglamentos y guías. Revisión de riesgos 31. La gestión de riesgos debe ser una parte activa del proceso de gestión de calidad. Debe implementarse un mecanismo para revisar o supervisar los eventos. 32. El producto/resultado del proceso de gestión de riesgos debe revisarse para tener en cuenta los nuevos conocimientos y experiencia. Una vez que el proceso de gestión de riesgo de calidad se ha iniciado, el proceso debe continuar siendo utilizado para los eventos que puedan afectar la decisión de gestión del riesgo de calidad original, si estos eventos se planifican (por ejemplo, los resultados de la revisión de productos, inspecciones, auditorías, control de cambios) o no se planifican (por ejemplo, la causa raíz de las investigaciones de falla, retiro del mercado). La frecuencia de cualquier revisión debe basarse en el nivel de riesgo. La revisión de riesgos podría incluir la reconsideración de las decisiones de aceptación del riesgo (sección 4.4). METODOLOGÍA DE GESTIÓN DE RIESGOS 33. La gestión de riesgos de calidad respalda un enfoque científico y práctico para la toma de decisiones. Proporciona métodos documentados, transparentes y reproducibles para realizar las etapas del proceso de gestión de riesgos de calidad basados en los conocimientos actuales sobre la valoración de la probabilidad, gravedad y, a veces detectabilidad del riesgo. 34. Tradicionalmente, los riesgos de calidad han sido valorados y gestionados en una variedad de maneras informales (procedimientos empíricos y/o internos) con base en, por ejemplo, recopilación de observaciones, tendencias y otra información. Tales enfoques siguen proporcionando información útil que podría respaldar temas tales como el manejo de quejas, defectos de calidad, desviaciones y asignación de recursos. 35. Asimismo, la industria farmacéutica y los reguladores pueden valorar y gestionar el riesgo mediante herramientas y/o procedimientos internos reconocidos de gestión de riesgos (por ejemplo, procedimientos normalizados de operación). A continuación se muestra una lista no exhaustiva de algunas de estas herramientas (más detalles en el anexo 1 y el Capítulo 8): PE 009-11 (Anexos) -153-1 de Marzo de 2014

- Métodos de facilitación de gestión de riesgos básicos (diagramas de flujo, hojas de verificación, etc.) - Análisis de Efectos y Modo de Falla (AMEF) - Análisis de Modo de Falla, Efectos y Criticidad (FMECA) - Análisis del Árbol de Fallos (FTA) - Análisis de Peligros y Puntos Críticos de Control (HACCP) - Análisis de Peligros y Operabilidad (HAZOP) - Análisis de Peligro Preliminar (PHA) - Clasificación y Filtrado de Riesgos - Herramientas estadísticas de apoyo 36. Podría ser conveniente adaptar estas herramientas para su uso en áreas específicas relacionadas con la calidad de los principios activos y productos farmacéuticos (medicinales). Los métodos de gestión de riesgos de calidad y las herramientas estadísticas de apoyo se pueden utilizar de forma combinada (por ejemplo Valoración Probabilística de Riesgos). El uso combinado proporciona una flexibilidad que puede facilitar la aplicación de los principios de gestión de riesgos de calidad. 37. El grado de rigor y formalidad de la gestión de riesgos de calidad deben reflejar el conocimiento disponible y ser proporcionales a la complejidad y/o criticidad del tema a tratar. INTEGRACIÓN DE LA GESTIÓN DE RIESGOS DE CALIDAD EN LA INDUSTRIA Y LAS OPERACIONES REGULATORIAS 38. La gestión de riesgos de calidad es un proceso que apoya las decisiones prácticas y basadas en la ciencia cuando se integran en los sistemas de calidad (véase el Anexo II). Como se ha señalado en la introducción, el uso apropiado de la gestión de riesgos de calidad no obvia la obligación de la industria para cumplir con los requisitos regulatorios. Sin embargo, la eficaz gestión de riesgos de calidad puede facilitar decisiones mejores y más informadas, puede proporcionar a los reguladores mayores garantías de capacidad de la empresa para hacer frente a los riesgos potenciales, y podría afectar la medida y el nivel de la supervisión regulatoria directa. Además, la gestión de riesgos de calidad puede facilitar un mejor uso de los recursos por parte de todas las partes. 39. La capacitación de la industria y personal regulatorio en los procesos de gestión de riesgos de calidad proporciona una mayor comprensión de los procesos de toma de decisiones y refuerza la confianza en los resultados de gestión de riesgos de calidad. 40. La gestión de riesgos de calidad debe integrarse en las operaciones existentes y documentarse adecuadamente. El Anexo II ofrece ejemplos de situaciones en las que el uso del proceso de gestión del riesgo de calidad puede proporcionar información que podría utilizarse en una variedad de operaciones farmacéuticas. Estos ejemplos se proporcionan solamente con fines ilustrativos y no deben considerarse como una lista definitiva ni exhaustiva. Estos ejemplos no pretenden crear nuevas expectativas más allá de los requisitos establecidos en la normativa vigente. PE 009-11 (Anexos) -154-1 de Marzo de 2014

41. Ejemplos de operaciones de la industria y regulatorias (véase el Anexo II): - Gestión de la calidad 42. Ejemplos de operaciones y actividades de la industria (véase el Anexo II): - Desarrollo - Instalación, equipamiento y servicios críticos - Gestión de Materiales - Producción - Pruebas de estabilidad y control de laboratorio - Empaque y etiquetado 43. Ejemplos de operaciones regulatorias (ver Anexo II): - Actividades de valoración e inspección 44. Si bien las decisiones regulatorias continuarán siendo tomadas en el plano regional, la comprensión y aplicación común de los principios de gestión de riesgo de calidad podrían facilitar la confianza mutua y promover decisiones más coherentes entre los reguladores con base en la misma información. Esta colaboración podría ser importante en el desarrollo de políticas y directrices que integran y respaldan las prácticas de gestión de riesgos de calidad. DEFINICIONES Aceptación del riesgo - La decisión de aceptar el riesgo (Guía ISO 73). Análisis de riesgo - Estimación de los riesgos asociados a los peligros identificados. Calidad - Grado en que un conjunto de propiedades inherentes a un producto, sistema o proceso cumple los requisitos (ver definición ICH Q6a específicamente para calidad de los principios activos y los productos farmacéuticos (medicinales). Ciclo de Vida del Producto - Todas las fases de la vida del producto desde el desarrollo inicial a través de la comercialización hasta la discontinuación del producto. Comunicación de riesgos - Intercambio de información sobre el riesgo y la gestión del riesgo entre el que toma las decisiones y otras partes interesadas. Control de riesgos - Acciones que aplican las decisiones de gestión de riesgos (Guía ISO 73). Daño - Deterioro a la salud, incluyendo el daño que puede ocurrir por la pérdida de la calidad o la disponibilidad del producto. Detectabilidad - Capacidad de descubrir o determinar la existencia, presencia o hecho de un peligro. Encargado(s) de adoptar decisiones - Persona(s) con la competencia y la autoridad para tomar decisiones adecuadas y oportunas de gestión de riesgos de calidad. Evaluación de riesgos - Proceso sistemático de organización de la información para respaldar una decisión de riesgo a hacerse dentro de un proceso de gestión de riesgos. Consiste en la identificación de los peligros y el análisis y evaluación de los riesgos asociados con la exposición a esos peligros. Evaluación del riesgo - Comparación del riesgo estimado a criterios de riesgo dados utilizando una escala cuantitativa o cualitativa para determinar la importancia del riesgo. PE 009-11 (Anexos) -155-1 de Marzo de 2014

Gestión de riesgos de calidad - Proceso sistemático para la valoración, control, comunicación y revisión de los riesgos para la calidad de los productos farmacéuticos (medicinales) en todo el ciclo de vida del producto. Gestión del riesgo - Aplicación sistemática de políticas de gestión de la calidad, procedimientos y prácticas a las tareas de evaluación, control, comunicación y revisión de riesgo. Gravedad - Medida de las posibles consecuencias de un peligro. Identificación del riesgo - Uso sistemático de información para identificar las fuentes potenciales de daño (peligros) en referencia a la pregunta del riesgo o la descripción del problema. Parte interesada - Cualquier individuo, grupo u organización que pueda afectar, ser afectado, o percibirse a sí mismo a ser afectado por un riesgo. Los que toman las decisiones también podrían ser interesados. Para efectos de esta directriz, los interesados principales son el paciente, el profesional de la salud, la autoridad regulatoria y la industria. Peligro - Fuente potencial de daño (Guía ISO/IEC 51). Reducción del riesgo - Medidas adoptadas para reducir la probabilidad de que ocurra un daño y la gravedad de dicho daño. Requisitos - Necesidades o expectativas explícitas o implícitas de los pacientes o sus sustitutos (por ejemplo, profesionales de la salud, reguladores y legisladores). En este documento, requisitos se refiere no sólo a los requisitos legales, legislativos o regulatorios, sino también a dichas necesidades y expectativas. Revisión de riesgos - Examen o control de producto/resultados del proceso de gestión de riesgos teniendo en cuenta (si procede) los nuevos conocimientos y experiencias sobre el riesgo. Riesgo - Combinación de la probabilidad de que ocurra un daño y la gravedad de dicho daño (Guía ISO/IEC 51). Sistema de calidad - Suma de todos los aspectos de un sistema que implementa la política de calidad y garantiza que se cumplan los objetivos de calidad. Tendencia - Término estadístico que se refiere a la dirección o tasa de cambio de una variable. PE 009-11 (Anexos) -156-1 de Marzo de 2014

REFERENCIAS ICH Q8 Pharmaceutical development ISO/IEC Guide 73:2002 - Risk Management - Vocabulary - Guidelines for use in Standards ISO/IEC Guide 51:1999 - Safety Aspects - Guideline for their inclusion in standards Process Mapping by the American Productivity & Quality Center 2002, ISBN 1928593739 IEC 61025 - Fault Tree Analysis (FTA) IEC 60812 Analysis Techniques for system reliability Procedures for failure mode and effects analysis (FMEA) Failure Mode and Effect Analysis, FMEA from Theory to Execution, 2nd Edition 2003, D. H. Stamatis, ISBN 0873895983 Guidelines for Failure Modes and Effects Analysis (FMEA) for Medical Devices, 2003 Dyadem Press ISBN 0849319102 The Basics of FMEA, Robin McDermott, Raymond J. Mikulak, Michael R. Beauregard 1996 ISBN 0527763209 WHO Technical Report Series No 908, 2003 Annex 7 Application of Hazard Analysis and Critical Control Point (HACCP) methodology to pharmaceuticals IEC 61882 - Hazard Operability Analysis (HAZOP) ISO 14971:2000 - Application of Risk Management to Medical Devices ISO 7870:1993 - Control Charts ISO 7871:1997 - Cumulative Sum Charts ISO 7966:1993 - Acceptance Control Charts ISO 8258:1991 - Shewhart Control Charts What is Total Quality Control?; The Japanese Way, Kaoru Ishikawa (Traducido por David J. Liu), 1985, ISBN 0139524339 PE 009-11 (Anexos) -157-1 de Marzo de 2014

APÉNDICE I: MÉTODOS Y HERRAMIENTAS DE GESTIÓN DE RIESGOS El propósito de este apéndice es proporcionar una visión general de las referencias de algunas de las principales herramientas que podrían utilizarse en la gestión de riesgo de calidad de la industria y los reguladores. Las referencias se incluyen como una ayuda para obtener más conocimiento y detalle sobre la herramienta en particular. Esto no es una lista exhaustiva. Es importante tener en cuenta que ninguna herramienta o conjunto de herramientas es aplicable para cualquier situación en la que se utiliza un procedimiento de gestión de riesgo de calidad. I.1 Métodos Básicos de Facilitación de Gestión de Riesgos Algunas de las técnicas simples que se usan comúnmente para la estructura de gestión de riesgos mediante la organización de los datos y facilitar la toma de decisiones son: - Diagramas de flujo - Hojas de verificación - Mapeo de Procesos - Diagramas de causa y efecto (también llamados diagramas de espina de pescado o diagrama de Ishikawa) I.2 Análisis de Efectos y Modo de Falla (AMEF) El AMEF (ver IEC 60812) proporciona una evaluación de los modos de fallo potenciales de los procesos y su probable efecto en los resultados y/o desempeño del producto. Una vez establecidos los modos de fallo, la reducción del riesgo se puede utilizar para eliminar, contener, reducir o controlar los posibles fallos. El AMEF se basa en la comprensión de productos y procesos. El AMEF metódicamente rompe el análisis de procesos complejos en pasos manejables. Es una herramienta poderosa para resumir los modos importantes de fallo, factores que causan estas fallas y los posibles efectos de las mismas. Áreas potenciales de uso(s) El AMEF puede utilizarse para priorizar los riesgos y monitorear la efectividad de las actividades de control de riesgos. El AMEF se puede aplicar a equipos e instalaciones y podría ser utilizado para analizar una operación de fabricación y su efecto sobre el producto o proceso. Identifica elementos/operaciones dentro del sistema que lo hacen vulnerable. El producto/resultado del AMEF se puede utilizar como una base para el diseño o posterior análisis o para guiar el despliegue de recursos. I.3 Análisis de Modo de Falla, Efectos y Criticidad (FMECA) El AMEF podría ampliarse para incorporar una investigación sobre el grado de gravedad de las consecuencias, sus respectivas probabilidades de ocurrencia y su detectabilidad, convirtiéndose así en un Análisis de Modo de Falla, Efectos y Criticidad (FMECA; véase IEC 60812). Para que este tipo de análisis se pueda realizar, se deben establecer las especificaciones del producto o de proceso. El FMECA puede identificar los lugares donde las acciones preventivas adicionales podrían ser apropiadas para minimizar los riesgos. PE 009-11 (Anexos) -158-1 de Marzo de 2014

Áreas potenciales de uso(s) La aplicación del FMECA en la industria farmacéutica en su mayoría se debe utilizar para las fallas y los riesgos asociados a los procesos de fabricación; sin embargo, no se limita a esta aplicación. El resultado de un FMECA es una puntuación de riesgo relativo para cada modo de fallo que se utiliza para clasificar los modos en función del riesgo relativo. I.4 Análisis del Árbol de Fallos (FTA) La herramienta FTA (véase IEC 61025) es un enfoque que asume la falla de la funcionalidad de un producto o proceso. Esta herramienta evalúa las fallas del sistema (o subsistema) de una en una, pero puede combinar múltiples causas de fallo mediante la identificación de cadenas causales. Los resultados se representan gráficamente en la forma de un árbol de modos de fallo. En cada nivel en el árbol, las combinaciones de modos de fallo se describen con operadores lógicos (AND, OR, etc.). El FTA se basa en la comprensión de los expertos del proceso para identificar los factores causales. El FTA se puede utilizar para establecer la vía a la causa raíz de la falla. El FTA se puede utilizar para investigar las quejas o desviaciones a fin de comprender plenamente su causa raíz y garantizar que las mejoras previstas resuelvan totalmente el problema y no conduzcan a otros problemas (es decir, resolver un problema aún puede causar un problema diferente). El Análisis del Árbol de Fallos es una herramienta eficaz para evaluar cómo múltiples factores afectan a un problema determinado. El resultado de un FTA incluye una representación visual de los modos de fallo. Es útil tanto para la valoración de riesgos como para el desarrollo de programas de monitoreo. I.5 Análisis de Peligros y Puntos Críticos de Control (HACCP) HACCP es una herramienta sistemática, proactiva y preventiva para asegurar la calidad, la fiabilidad y la seguridad del producto (ver Serie de Informes Técnicos OMS No 908, 2003 Anexo 7). Es un enfoque estructurado que aplica principios técnicos y científicos para analizar, evaluar, prevenir y controlar el riesgo de consecuencia(s) adversa(s) de peligro(s) debido al diseño, desarrollo, producción y uso de los productos. HACCP consiste en los siguientes siete pasos: 1. realizar un análisis de riesgos e identificar medidas preventivas para cada paso del proceso; 2. determinar los puntos críticos de control; 3. establecer límites críticos; 4. establecer un sistema para vigilar los puntos críticos de control; 5. establecer las medidas correctivas a tomar cuando el monitoreo indica que los puntos críticos de control no se encuentran en un estado de control; 6. establecer un sistema para verificar que el sistema HACCP está funcionando eficazmente; 7. establecer un sistema de registro. PE 009-11 (Anexos) -159-1 de Marzo de 2014

Áreas potenciales de uso(s) HACCP podría ser utilizado para identificar y gestionar los riesgos asociados con los peligros físicos, químicos y biológicos (incluida la contaminación microbiológica). HACCP es más útil cuando la comprensión del producto y proceso es suficientemente amplia para apoyar la identificación de los puntos críticos de control. El resultado de un análisis HACCP es la información de gestión de riesgos que facilita el seguimiento de los puntos críticos, no sólo en el proceso de fabricación, sino también en otras fases del ciclo de vida. I.6 Análisis de Peligros y Operabilidad (HAZOP) HAZOP (ver IEC 61882) se basa en una teoría que asume que los eventos de riesgo son causados por desviaciones del diseño o intenciones de operación. Es una técnica sistemática de lluvia de ideas para identificar peligros usando las llamadas palabras guía. Las palabras-guía (por ejemplo, No, Más, Además de, Parte de, etc.) se aplican a los parámetros pertinentes (por ejemplo, contaminación, temperatura) para ayudar a identificar posibles desviaciones del uso normal o intenciones de diseño. A menudo utiliza un equipo de personas con pericia cubriendo el diseño del proceso o producto y su aplicación. Áreas potenciales de uso(s) HAZOP se puede aplicar a los procesos de fabricación, incluyendo la producción subcontratada y la formulación, así como la de proveedores arriba en la cadena productiva, equipos e instalaciones de los principios y productos farmacéuticos (medicamentos). También se ha utilizado principalmente en la industria farmacéutica para la evaluación de los peligros de seguridad de proceso. Como es el caso con el HACCP, el resultado de un análisis HAZOP es una lista de operaciones críticas para la gestión del riesgo. Esto facilita el seguimiento periódico de los puntos críticos del proceso de fabricación. I.7 Análisis de Peligro Preliminar (PHA) PHA es una herramienta de análisis basada en la aplicación de la experiencia o el conocimiento de un peligro o falla para identificar peligros, situaciones y eventos peligrosos futuros que pudieran causar daño, así como para estimar su probabilidad de ocurrencia para una actividad, instalación, producto o antes sistema. La herramienta consiste en: 1) la identificación de las posibilidades de que el evento de riesgo ocurra, 2) la evaluación cualitativa de la magnitud de posibles lesiones o daños a la salud que puede provocar y 3) una clasificación relativa del peligro utilizando una combinación de gravedad y probabilidad de ocurrencia, y 4) la identificación de las posibles medidas correctivas. Áreas potenciales de uso(s) PHA podría ser útil en el análisis de los sistemas existentes o priorizar los riesgos cuando las circunstancias impidan la utilización de una técnica más extensa. Se puede utilizar para diseño de producto, proceso e instalaciones, así como para evaluar los tipos de peligros para el tipo general de los productos, luego la clase de producto y finalmente el producto específico. PHA es más comúnmente utilizada a inicios del desarrollo de un proyecto cuando hay poca información sobre los detalles de diseño o procedimientos de operación; por lo tanto, a menudo será un precursor de estudios adicionales. Por lo general, los riesgos identificados en el PHA se valoran más profundamente con otras herramientas de gestión de riesgos, como las de esta sección. PE 009-11 (Anexos) -160-1 de Marzo de 2014

I.8 Clasificación y Filtrado de Riesgos La clasificación y el filtrado de riesgos es una herramienta para comparar y clasificar los riesgos. La clasificación de riesgos de los sistemas complejos normalmente requiere la evaluación de múltiples y diversos factores cuantitativos y cualitativos para cada riesgo. La herramienta consiste en romper una pregunta básica de riesgo en tantos componentes como sea necesario para capturar factores implicados en el riesgo. Estos factores se combinan en una única puntuación de riesgo relativo que luego se puede utilizar para la clasificación de riesgos. Se pueden utilizar Filtros, en forma de factores de ponderación o puntos de corte para las puntuaciones de riesgo, para escalar o hace encajar la clasificación de riesgos en los objetivos de gestión o de políticas. Áreas potenciales de uso(s) La clasificación y el filtrado de riesgos se pueden utilizar para dar prioridad a los lugares de fabricación para la inspección/auditoría de los reguladores o industria. Los métodos de clasificación de riesgo son particularmente útiles en situaciones en las que la cartera de riesgos y las consecuencias que subyacen a ser gestionadas son diversas y difíciles de comparar utilizando de una sola herramienta. La clasificación de riesgos es útil cuando la administración tiene que evaluar los riesgos valorados tanto cuantitativa como cualitativamente dentro de un mismo marco organizativo. I.9 Herramientas estadísticas de apoyo Las herramientas estadísticas pueden apoyar y facilitar la gestión de riesgos de calidad. Pueden permitir la valoración eficaz de los datos, la ayuda en la determinación de la importancia del(los) conjunto(s) de datos y facilitar una toma de decisión más confiable. Se proporciona un listado de algunas de las herramientas estadísticas principales que comúnmente se utilizan en la industria farmacéutica: (i) Gráficos de Control, por ejemplo: - Gráficos de Control de Aceptación (véase ISO 7966) - Gráficos de Control con Promedio Aritmético y Límites de Advertencia (véase ISO 7873) - Gráficos de Suma Acumulativa (véase ISO 7871) - Gráficos de Control Shewhart (véase ISO 8258) - Promedio Móvil Ponderado (ii) Diseño de Experimentos (DOE) (iii) Histogramas (iv) Gráficas de Pareto (v) Análisis de Capacidad de Proceso PE 009-11 (Anexos) -161-1 de Marzo de 2014

APÉNDICE II: APLICACIONES POTENCIALES PARA LA GESTIÓN DE RIESGOS DE CALIDAD Este apéndice tiene por objeto identificar posibles usos de los principios y herramientas de gestión de riesgo de calidad de la industria y los reguladores. Sin embargo, la selección de determinadas herramientas de gestión de riesgos es completamente dependiente de los hechos y circunstancias específicas. Estos ejemplos se proporcionan con fines ilustrativos y sólo sugieren usos potenciales de la gestión de riesgos de calidad. Este Anexo no se pretende crear nuevas expectativas más allá de los requisitos regulatorios actuales. II.1 Gestión de riesgos de calidad como parte de la gestión integrada de la calidad Documentación Revisar las interpretaciones actuales y aplicación de las expectativas regulatorias Determinar la conveniencia y/o desarrollar el contenido de los PNO, guías, etc. Capacitación y educación Determinar la idoneidad de las sesiones de capacitación inicial y/o en curso sobre la base de educación, experiencia y hábitos de trabajo del personal, así como de una valoración periódica de la capacitación anterior (por ejemplo, su eficacia) Identificar la capacitación, experiencia, calificación y capacidades físicas que permiten al personal llevar a cabo una operación confiable y sin ningún impacto adverso en la calidad del producto Defectos de calidad Proporcionar la base para identificar, evaluar y comunicar el impacto potencial de calidad de un defecto, queja, tendencia, desviación, investigación, resultado fuera de especificación, etc. sospechoso de calidad Facilitar la comunicación de riesgos y determinar las medidas adecuadas para hacer frente a defectos importantes de productos, en conjunto con las autoridades regulatorias (por ejemplo, retiro del mercado) Auditoría/Inspección Definir la frecuencia y el alcance de las auditorías, tanto internas como externas, teniendo en cuenta factores tales como: - Los requisitos legales existentes - El estado de cumplimiento global e historial de la empresa o instalación - La robustez de las actividades de gestión de riesgos de calidad de una empresa - La complejidad del sitio - La complejidad del proceso de fabricación - La complejidad del producto y su importancia terapéutica PE 009-11 (Anexos) -162-1 de Marzo de 2014

- El número y la importancia de los defectos de calidad (por ejemplo, retiro del mercado) - Los resultados de las auditorías/inspecciones previas - Los cambios importantes de construcción, equipos, procesos, personal clave - Experiencia con la fabricación de un producto (por ejemplo, frecuencia, volumen, número de lotes) - Resultados de las pruebas de los laboratorios oficiales de control Revisión periódica Seleccionar, evaluar e interpretar los resultados de tendencia de los datos dentro de la revisión de la calidad del producto Interpretar los datos de seguimiento (por ejemplo, para apoyar una valoración de la idoneidad de la revalidación o cambios en la toma de muestras) Gestión de cambios/control de cambios Gestionar los cambios basados en el conocimiento y la información acumulada en el desarrollo farmacéutico y durante la fabricación Evaluar el impacto de los cambios en la disponibilidad del producto final Evaluar el impacto en la calidad del producto de los cambios en las instalaciones, equipos, materiales, procesos de fabricación o transferencias técnicas Determinar las medidas adecuadas que preceden a la implementación de un cambio, por ejemplo, pruebas adicionales, (re)calificación, (re)validación o la comunicación con los reguladores Mejora continua Facilitar la mejora continua en los procesos en todo el ciclo de vida del producto II.2 Gestión de Riesgos de Calidad como parte de las operaciones regulatorias Actividades de valoración e inspección Ayudar en la asignación de recursos, incluyendo, por ejemplo, la planificación y la frecuencia de la inspección, y la intensidad de la inspección y valoración (véase la sección Auditoría en el Anexo II.1) Evaluar la importancia de, por ejemplo, defectos de calidad, posibles retiradas del mercado y hallazgos de Inspección Determinar la pertinencia y el tipo de seguimiento regulatorio posterior a la inspección Evaluar la información presentada por la industria, incluyendo información sobre el desarrollo farmacéutico PE 009-11 (Anexos) -163-1 de Marzo de 2014

Evaluar el impacto de las variaciones o cambios propuestos Identificar los riesgos que deben ser comunicados entre los inspectores y asesores para facilitar una mejor comprensión de cómo los riesgos pueden ser o son controlados (por ejemplo, la liberación paramétrica, Tecnología Analítica de Proceso (PAT)). II.3 Gestión de riesgos de calidad como parte del desarrollo Diseñar un producto de calidad y su proceso de fabricación para entregar constantemente el desempeño previsto del producto (ver ICH Q8) Mejorar el conocimiento del desempeño del producto a través de una amplia gama de atributos materiales (por ejemplo, distribución del tamaño de partícula, contenido de humedad, propiedades de flujo), opciones de procesamiento y parámetros de proceso Valorar los atributos críticos de las materias primas, solventes, Ingredientes Farmacéuticos Activos (API) materiales de partida, API, excipientes o materiales de empaque Establecer las especificaciones adecuadas, identificar los parámetros críticos del proceso y establecer controles de fabricación (por ejemplo, el uso de información de los estudios farmacéuticos de desarrollo en cuanto a la importancia clínica de los atributos de calidad y la capacidad de controlarlos durante el procesamiento) Reducir la variabilidad de los atributos de calidad: - Reducir los defectos de productos y materiales - Reducir los defectos de fabricación Valorar la necesidad de estudios adicionales (por ejemplo, bioequivalencia, estabilidad) en relación con la escala y la transferencia de tecnología Hacer uso del concepto de espacio de diseño (ver ICH Q8) II.4 Gestión de Riesgos de Calidad para Instalaciones, Equipos y Servicios Críticos Diseño de instalación/equipo Determinar zonas apropiadas en el diseño de edificios e instalaciones, por ejemplo, - Flujo de material y personal - Minimizar la contaminación - Las medidas de control de plagas - Prevención de mezclas de productos - Equipo abierto contra cerrado - Cuartos limpios frente a las tecnologías de aislamiento - Instalaciones/equipos específicos o segregados Determinar los materiales adecuados de contacto con los productos para los equipos y recipientes (por ejemplo, la selección del tipo de acero inoxidable, juntas, lubricantes) PE 009-11 (Anexos) -164-1 de Marzo de 2014

Determinar los servicios apropiados (por ejemplo, vapor, gases, fuente de alimentación, aire comprimido, calefacción, ventilación y aire acondicionado (HVAC), agua) Determinar el mantenimiento preventivo adecuado para los equipos asociados (por ejemplo, el inventario de refacciones necesarias) Aspectos de higiene en las instalaciones Proteger el producto de los peligros ambientales, incluyendo los peligros químicos, microbiológicos y físicos (por ejemplo, la determinación de la ropa adecuada y el uso de batas, problemas de higiene) Proteger el medio ambiente (por ejemplo, el personal, el potencial de contaminación cruzada) de los peligros relacionados con el producto fabricado Calificación de las instalaciones/equipos/servicios críticos Determinar el alcance y la extensión de la calificación de las instalaciones, edificios y equipos de producción y/o instrumentos de laboratorio (incluyendo métodos adecuados de calibración) Limpieza de equipos y control ambiental Diferenciar los esfuerzos y las decisiones basadas en el uso previsto (por ejemplo, múltiples contra un solo propósito, lote contra producción continua) Determinar límites de validación de limpieza (especificados) aceptables Calibración/mantenimiento preventivo Establecer horarios apropiados de calibración y mantenimiento Sistemas informáticos y equipos controlados por computadora Seleccionar el diseño de hardware y software (por ejemplo, modular, estructurado, tolerancia a fallos) Determinar la extensión de la validación, por ejemplo: - Identificación de los parámetros críticos de desempeño - Selección de los requisitos y el diseño - Revisión de código - Alcance de las pruebas y métodos de prueba - Fiabilidad de los registros electrónicos y firmas II.5 Gestión de riesgos de calidad como parte de la Gestión de materiales Valoración y evaluación de los proveedores y fabricantes por contrato Proporcionar una evaluación completa de los proveedores y fabricantes por contrato (por ejemplo, auditoría, acuerdos de calidad de proveedores) PE 009-11 (Anexos) -165-1 de Marzo de 2014

Material de partida Valorar las diferencias y los posibles riesgos de calidad asociados con la variabilidad en los materias de partida (por ejemplo, la edad, la ruta de síntesis). Uso de materiales Determinar si es adecuado para utilizar el material en cuarentena (por ejemplo, para su posterior procesamiento interno) Determinar la idoneidad de reprocesamiento, reelaboración, uso de las mercancías regresadas Almacenamiento, logística y condiciones de distribución Valorar la idoneidad de los mecanismos para asegurar el mantenimiento de las condiciones apropiadas de transporte y almacenamiento (por ejemplo, temperatura, humedad, diseño del recipiente) Determinar el efecto sobre la calidad del producto de las discrepancias en las condiciones de almacenamiento o transporte (por ejemplo, gestión de la cadena de frío) en conjunción con otras directrices de la ICH Mantener la infraestructura (por ejemplo, la capacidad de asegurar condiciones adecuadas de transporte, almacenamiento provisional, manejo de materiales peligrosos y sustancias controladas, despacho de aduanas) Proporcionar información para asegurar la disponibilidad de los productos farmacéuticos (por ejemplo, clasificación de los riesgos de la cadena de suministro) II.6 Gestión de riesgos de calidad como parte de la producción Validación Identificar el alcance y la magnitud de verificación, las actividades de calificación y validación (por ejemplo, métodos analíticos, procesos, equipos y métodos de limpieza Determinar la extensión de las actividades de seguimiento (por ejemplo, muestreo, monitoreo y revalidación) Distinguir entre los pasos críticos y no críticos del proceso para facilitar el diseño de un estudio de validación Muestreo y pruebas en proceso Evaluar la frecuencia y extensión de las pruebas de control en proceso (por ejemplo, justificar las pruebas reducidas bajo condiciones de control probado) Evaluar y justificar el uso de las tecnologías de análisis de procesos (PAT) en conjunto con tiempo de liberación paramétrica y en tiempo real PE 009-11 (Anexos) -166-1 de Marzo de 2014